Python으로 pcap 파일을 분석하기 위해서 dpkt 라이브러리 설치가 필요합니다.



※ 설치방법


pip install dpkt




※ 사용법 기초


Pcap에서 datetime, mac address, ip.src, ip.dst, length을 출력하는 예제


import dpkt

import datetime

import socket


def mac_addr(address):

return ':'.join('%02x' % ord(b) for b in address)


with open('pcap파일명 입력', 'rb') as f:

pcap = dpkt.pcap.Reader(f)


var = 100


for timestamp, buf in pcap:

eth = dpkt.ethernet.Ethernet(buf)

ip = eth.data

var = var - 1

if var == 0:

break


if eth.type != dpkt.ethernet.ETH_TYPE_IP:

continue

   

if ip.p != dpkt.ip.IP_PROTO_TCP:

continue

print 'Timestamp: ', timestamp

print 'Ethernet Frame: ', mac_addr(eth.src), ' -> ', mac_addr(eth.dst), eth.type

print 'IP: %s -> %s len=%d \n' % (socket.inet_ntoa(ip.src), socket.inet_ntoa(ip.dst), ip.len)



Posted by n3015m

본업을 떠날수 없나보다. Javascript 악성코드 난독화를 수작업으로 하니 시간도 많이 걸리고 이제 좀 익숙해지고해서 이제 좋은 방법이 없나 검색중에 발견한 툴이다.


리눅스에 설치가 가능하다고 바로 사용 가능한 라즈베리파이의 Raspbian에 설치해 봤습니다.



※ JSDetox 


About JSDetox 


A Javascript malware analysis tool using static analysis / deobfuscation techniques and an execution engine featuring HTML DOM emulation


- 사이트 : http://www.relentless-coding.com/projects/jsdetox/info



※ 설치방법


- JSDetox의 안내된 공식 설치 장법이다. 

  이대로 설치하면 therubyracer 0.9.8이 없다는 에러가 발생한다.


Installation on Linux Mint 17 LTS / Ubuntu 14.04 LTS is straightforward:


sudo apt-get install git ruby ruby-dev bundler build-essential

git clone https://github.com/svent/jsdetox.git

cd jsdetox

sudo bundle install

./jsdetox


- 에러가 발생한화면


extconf.rb:15:in `<main>': undefined method `include_path' for Libv8:Module (NoMethodError)



Gem files will remain installed in /var/lib/gems/1.9.1/gems/therubyracer-0.9.8 for inspection.

Results logged to /var/lib/gems/1.9.1/gems/therubyracer-0.9.8/ext/v8/gem_make.out

An error occurred while installing therubyracer (0.9.8), and Bundler cannot continue.

Make sure that `gem install therubyracer -v '0.9.8'` succeeds before bundling.


- gem install therubyracer -v '0.9.8' 에러화면

  아래와 같은 에러가 발생하며 0.9.8 설치가 안된다.


sudo gem install therubyracer -v '0.9.8'


~~~~~~

extconf.rb:15:in `<main>': undefined method `include_path' for Libv8:Module (NoMethodError)


extconf failed, exit code 1


Gem files will remain installed in /var/lib/gems/2.1.0/gems/therubyracer-0.9.8 for inspection.

Results logged to /var/lib/gems/2.1.0/extensions/arm-linux/2.1.0/therubyracer-0.9.8/gem_make.out


- therubyracer 0.9.8 설치하는 방법

  일단 0.12.x 버전에 설치되어 있어 방법은 0.9.8버전으로 인식 시키는 방법으로 해결 가능


One solution is to run the current version as version 0.9.8. (solves not the real problem):


- Clone therubyracer's source 

  git clone https://github.com/cowboyd/therubyracer.git


- Checkout tag v0.x.x git checkout v0.9.8

  Change version number in ./lib/v8/version.rb to 0.9.8
  sudo vi ./lib/v8/version.rb


- Build the gem gem build therubyracer.gemspec

  sudo gem install therubyracer-0.9.8.gem


- 다시 설치를하면 정상적으로 완료된다


설치하기

sudo bundle install



※ 실행 및 접속화면


- 원격에서 접속이 가능하도록 실행 및 접속한 화면이다.


접속하기(원격접속 허용)

./jsdetox -l 0.0.0.0


외부에서 접속한 화면



Posted by n3015m

BLOG main image
'네오이즘'의 보안LAB 블로그입니다........... n3oism@gmail.com by n3015m

카테고리

분류 전체보기 (227)
[ HappyDevTool ] (29)
[ HappyToolRelease ] (4)
[Book] (6)
[ Security Studies ] (0)
- CII (2)
- BigData (2)
- Web Hacking (10)
- SQL Injection (25)
- Mobile Security (8)
- Network (6)
- OperatingSystem (4)
- Malware & Reversing (4)
- Phishing (5)
- Compliance (0)
- Programming (13)
- Tools (13)
- IoT (6)
- etc (21)
[Pentration Testing] (3)
[OS X] (4)
[ Security Trends ] (16)
[ Fixing Guideline ] (7)
My Way, My Life (34)
About Me (2)
Total : 261,277
Today : 67 Yesterday : 71